Saltar al contenido

Como probar tu antivirus de forma segura

Tienes un antivirus gratuito -o un magnífico y moderno EDR– instalado en tu/s sistema/s pero te asalta la duda. ¿Realmente va a funcionar? ¿Está la protección activa y bien configurada? Es posible que en algunos sistemas críticos quieras asegurarte de si tu software de seguridad se comporta como esperas.

Aunque podrías descargar un malware cualquiera y ejecutarlo en tu sistema, para saber si tu antimalware funciona, normalmente será más interesante no correr riesgos innecesarios o vernos en la necesidad de utilizar una máquina virtual para la prueba.

También, claro está, puedes utilizar una herramienta de pentesting, así como externalizar un test de intrusión para que una empresa verifique, pero si solo se trata de comprobar el estado de tu antivirus, no merecerá la pena.

Pon a prueba tu antivirus sin ejecutar malware

A continuación haré una breve relación con algunas de las comprobaciones básicas para probar el funcionamiento de un antivirus o EDR. Ni mucho menos son estas las únicas formas de hacerlo, pero si las más obvias, algunas de ellas utilizadas por mí de forma regular.

Probar la detección de malware con archivo de prueba EICAR

La organización AMTSO (Anti-Malware Testing Standards Organization) pone a nuestra disposición el famoso archivo EICAR desde tiempos inmemoriales y, recientemente, han añadido nuevos test tanto para antimalware de escritorio como para antivirus para móviles Android.

Básicamente, tendremos que copiar y pegar el siguiente texto ASCII en un archivo de texto (notepad.exe, por ejemplo) y guardarlo con extensión .EXE o .BAT.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

NOTA: el tercer carácter es una o mayúscula, no un cero (por si te diera por escribirlo).

EICAR con extensión ejecutable .EXE
Guardamos archivo con extensión ejecutable .EXE
Detección de archivo EICAR en McAfee ePO
Detección de archivo EICAR en McAfee ePO

También puedes descargar el EICAR directamente.

Una forma de verificar si el antivirus escanea de manera automática determinadas extensiones, al abrir el archivo (on access) es guardar la cadena EICAR con múltilples extensiones de archivo: exe, com, bat, txt, pdf, jpg, docm, xlsx, etcétera.

EICAR formatos de archivo
Créditos de imagen: Black Hills Infosec

Te sorprenderás al ver que no todas las extensiones son siempre detectadas, según tu configuración.

EICAR comprimido

Ve a la sección Test de Características de Seguridad si quieres ver todas las pruebas disponibles. Allí encontrarás otras pruebas ligeramente diferentes, como la de prevención de archivo malicioso comprimido, simulando mediante otro EICAR que descargaremos en diferentes formatos.

EICAR comprimido

Poco más que añadir. En el ejemplo, el antivirus de Symantec solo ha detectado uno de los 4 test realizados.

Detección EICAR Symantec

Páginas de phishing

Se intenta simular un intento de phishing en nuestro navegador. Basta con acceder aquí y, si vemos la siguiente página, significa que nuestra protección frente al phishing no es efectiva o no está bien configurada.

Prueba antivirus Páginas de phishing AMTSO
No se ha superado el test 😦

El resto de test, PUA (Aplicaciones Potencialmente no deseadas), descargas dirigidas, etc te animo a verlas por tí mismo.

Probar detección de malware en Alternate Data Streams

Los flujos de datos alternativos o Alternate Data Stream podrían teóricamente servir de ubicación para el malware en aquellos sistemas de archivos NTFS. Esta técnica ha sido empleada durante años por parte de los atacantes, permitiendo esconder malware en disco, dado que no todos los antivirus miran en esta ubicación.

Si queires saber si tu producto cuenta con esta capacidad y funciona como debe, puedes realizar la siguiente prueba mediante Powershell. Se trata de crear un archivo EICAR de prueba en una ubicación ADS.

Crearemos, desde una ventana de Powershell, un archivo con el siguiente comando. No tiene ninguna carga perjudicial.

set-content .\Prueba-ADS.txt "Este es un archivo de prueba"

Ahora, insertaremos una linea EICAR dentro del contenido. El antivirus debería detectar y bloquear el intento, como en nuestro ejemplo.

Prueba de antivirus con Alternate Data Stream
Comandos para probar la eficacia frente a un EICAR en Alternate Data Streams

Probar detección basada en comportamiento con Administrador de tareas de Windows

Simularemos en este ejemplo un comportamiento malicioso que podría desencadenarse tras la ejecución satisfactoria de un exploit o malware, en lugar de simular la presencia en disco del mismo.

Esto es una forma de verificar si se detecta malware tipo fileless (comúnmente a través de LOLbins).

El análisis de comportamiento es más eficaz en los EDR o XDR que en antivirus “old school”. Es posible que necesitemos uno de tales productos como añadido al antivirus tradicional.

Si queremos verificar si nuestro producto es capaz de suprimir tales intentos, haremos lo siguiente. Empezando por abrir un Administrador de Tareas de Windows como administrador (es posible que tengamos que pulsar más detalles).

Administrador de tareas de Windows como administrador

Ahora nos moveremos a la pestaña Detalles.

Administrador de tareas - detalles

Ordenaremos la lista de procesos por nombre hasta encontrar el proceso lsass.exe. Nos situaremos encima y haremos click derecho para seleccionar esta opción:

Tras pulsar Crear archivo de volcado pueden darse dos opciones:

  1. El antivirus o EDR lo bloquea, en cuyo caso el propio administrador de tareas podría cerrarse súbitamente.
  2. El proceso se realiza con normalidad y el archivo se guarda en la carpeta C:\Temp de nuestro perfil de usuario.
Nuestro antivirus no pasó esta prueba 😦

Básicamente hemos intentado hacer lo mismo que muchos malware tras aterrizar en el equipo, intentar volcar para posteriormente leer el contenido del archivo de Local Security Authority Subsystem, responsable de hacer cumplir las políticas de seguridad.

Test de eficacia de scripts maliciosos en memoria (AMSI)

Otra prueba donde generalmente un EDR detecta más que un antivirus tradicional. Al igual que con la cadena estandarizada EICAR, Microsoft tiene su Antimalware Scan Interface (AMSI) con nuna cadena de prueba diferente.

¿Por qué es interesante en comparación con la opción anterior? Básicamente, porque nos permite escanear código perjudicial dentro de scritps y comandos de Powershell, dentro de Macros de Microsoft Office y dentro de lenguajes de scripting como Javascript o VBScript.

Hoy en día, gran parte de las ejecuciones de malware implican descargar un payload desde una linea de comandos, normalmente Powershell debido a su versatilidad. Luego se cargan estos payloads en memoria y son ejecutados sin dejar rastro en disco (fileless malware).

Para realizar la prueba con AMSI, abriremos un intérprete Powershell y pegaremos el contenido de la siguiente linea:

‘AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386’

En caso de no funcionar podemos intentar además con estas otras:

‘amsicontext’
‘Invoke-Mimikatz’ 

Debería, en caso de bloquearse con éxito el comando “malicioso”, aparecer un mensaje de error en la linea de comandos, al contrario que en nuestro caso.

El mensaje de bloqueo satisfactorio debe contener una referencia clara a que el objeto contiene malware

Conclusiones

Hemos revisado 4 pruebas diferentes en la lista de test para comprobar la efectividad de nuestro antivirus, de las que nuestro Symantec Endpoint Protection ha suspendido algunas (aunque esto puede ser por mala configuración vs incapacidad del producto).

Hay más formas de realizar pruebas, no es una lista exhaustiva, pero te permitirá comenzar y cubre las áreas más importantes que debes tener en cuenta.

Eso sí, quiere decir que el antivirus/EDR está haciendo su trabajo a “mínimos”, no quiere decir que sea capaz de reconocer cualquier intento de ataque basado en estos mecanismos.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: